toms logo
toms logo
Français 

PCI-P2PE
FlyKey a passé PCI P2PE

Introduction du PCI P2PE

La norme PCI P2PE vise à faciliter le développement, l'approbation et le déploiement de solutions P2PE approuvées par la PCI, afin d'accroître la protection des données de compte en chiffrant ces données depuis le point d'interaction (POI) au sein de l'environnement de chiffrement, où les données de compte sont capturées, jusqu'au point de déchiffrement de ces données dans un environnement de déchiffrement, supprimant ainsi efficacement les données de compte en texte clair entre ces deux points.

Domaine Aperçu Exigences de validation P2PE
Domaine 1 : Gestion des dispositifs de chiffrement et des applications La gestion sécurisée des appareils POI approuvés PCI et du logiciel résident.
  • 1A Les données de compte doivent être chiffrées dans un équipement résistant aux compromissions physiques et logiques.
  • 1B Sécurisez logiquement les périphériques POI.
  • 1C Utilisez des applications P2PE qui protègent les PAN et SAD.
  • 1D Mettez en œuvre des processus de gestion des applications sécurisés.
  • 1E Fournisseurs de composants UNIQUEMENT : signalez l'état aux fournisseurs de solutions.
Domaine 2 : sécurité des applications Le développement sécurisé d'applications de paiement conçues pour avoir accès aux données de compte en texte clair destinées uniquement à être installées sur des appareils POI approuvés PCI.
  • 1A Protéger le PAN et le SAD.
  • 2B Développer et maintenir des applications sécurisées.
  • 2C Mettre en œuvre des processus de gestion des applications sécurisés.
Domaine 3 : Gestion des solutions P2PE Gestion globale de la solution P2PE par le fournisseur de solution, y compris les relations avec les tiers, la réponse aux incidents et le manuel d'instructions P2PE (PIM).
  • 3A Gestion de la solution P2PE.
  • 3B Gestion tierce.
  • 3C Création et maintenance du manuel d'instructions P2PE pour les commerçants.
Domaine 4 : Environnement de décryptage La gestion sécurisée de l'environnement qui reçoit les données de compte cryptées et les décrypte.
  • 4A Utilisez des dispositifs de déchiffrement approuvés.
  • 4B Sécurisez l'environnement de déchiffrement.
  • 4C Surveillez l'environnement de déchiffrement et répondez aux incidents.
  • 4D Mettez en œuvre des processus de déchiffrement hybrides sécurisés.
  • 4E Fournisseurs de composants UNIQUEMENT : signalez l'état aux fournisseurs de solutions.
Domaine 5 : Opérations de clés cryptographiques P2PE et gestion des appareils Établir et administrer des opérations de gestion de clés pour les dispositifs POI de chiffrement des données de compte et les HSM de décryptage.
  • Objectif de contrôle 1 Les données de compte sont traitées à l'aide d'équipements et de méthodologies qui garantissent leur sécurité.
  • Objectif de contrôle 2 Les clés de données de compte et les méthodologies de gestion des clés sont créées à l'aide de processus qui garantissent qu'il n'est pas possible de prédire une clé ou de déterminer que certaines clés sont plus probables que d'autres clés.
  • Objectif de contrôle 3 Les clés sont transmises ou acheminées de manière sécurisée.
  • Objectif de contrôle 4 Le chargement des clés est géré de manière sécurisée.
  • Objectif de contrôle 5 Les clés sont utilisées de manière à empêcher ou à détecter leur utilisation non autorisée.
  • Objectif de contrôle 6 Les clés sont administrées de manière sécurisée.
  • Objectif de contrôle 7 L'équipement utilisé pour traiter les données et les clés des comptes est géré de manière sécurisée.
  • 5A Les données des comptes sont traitées à l'aide d'algorithmes et de méthodologies qui garantissent leur sécurité.
  • 5H Pour les solutions de déchiffrement hybrides : mettre en œuvre une gestion sécurisée des clés hybrides.
  • 5I Fournisseurs de composants UNIQUEMENT : signaler l'état aux fournisseurs de solutions.

Articles Liés

PCI

Le Conseil des normes de sécurité PCI (PCI SSC) est un forum mondial qui...

PCI DSS

PCI DSS contient 12 exigences, divisées en 6 catégories...

PCI PIN

La norme PCI PIN contient un ensemble complet d'exigences pour la sécurité...